Plus d’une centaine d’établissements bancaires de l'Union européenne vont être soumis à des tests de résistance par la Banque Centrale européenne (BCE), afin de juger de leur capacité à répondre à une cyberattaque.
Dans un contexte international tendu, en raison de la guerre en Ukraine et de la recrudescence des cyberattaques, la BCE veut tester la capacité de résistance des banques. Un test thématique sur la cyber-résilience sera effectué en 2024.
On en sait peu sur la méthodologie qui sera employée. Ce que l’on sait, c’est que ce test doit rendre compte de « la capacité des banques à réagir et à se remettre d’une cyberattaque réussie », a précisé Andrea Enria, président du conseil de surveillance de la BCE, dans une interview à l’hebdomadaire lituanien Verslo žinios publiée sur le site du superviseur. « C'est un nouvel exercice, et nous y consacrerons beaucoup de temps et de ressources, pour mieux comprendre où sont les forces et les faiblesses des banques. », a-t-il déclaré.
Même si Andrea Enria affirme que l’augmentation des cyberattaques « n’a pas encore entraîné de problèmes opérationnels majeurs dans les banques européennes », mieux vaut prévenir que guérir. Et donc, renforcer les défenses des établissements bancaires tant qu’il en est encore temps. Sur les 115 établissements les plus importants de la zone euro, la moitié a indiqué avoir été la cible d’au moins une cyberattaque réussie en 2021 d’après un questionnaire de la BCE publié en décembre dernier.
« Éléments de faiblesse » détectés
« Dans un passé récent, tant pendant la pandémie qu'après l'invasion de l'Ukraine par la Russie, il y a eu des épisodes qui nous ont fait réfléchir en tant que superviseurs », a fait remarquer Andrea Enria. Par exemple, de nombreuses banques externalisent des fonctions critiques à d’autres sociétés de leur groupe, ou à des prestataires externes, dans d'autres juridictions – « parfois en Russie même, parfois en Inde ou dans d'autres juridictions du monde entier », note le superviseur.
Andrea Enria évoque aussi des « éléments de faiblesse » dans la capacité des banques à assurer une continuité de services aux clients en cas de problème informatique. Aussi lorsqu'il s'agit de fournir au conseil d’administration des informations afin de gérer et surveiller les risques informatiques.